Биржевой протокол FIX полон уязвимостей

11/07/2007 12:10

Основной протокол обмена данными при торговле ценными бумагами Financial Information Exchange (FIX) не соответствует современным требованиям к безопасной связи, утверждает компания ИТ-безопасности Matasano Security. Протокол был создан в 1992 году для передачи информации о торговле акциями между Fidelity Investments и Solomon Brothers. В настоящее время он является стандартом де факто в серверных приложениях для обмена данными о финансовых транзакциях и используется как продавцами, так и покупателями акций. Протокол изначально не предусматривал систем защиты, утверждают специалисты Matasano. Вследствие этого, он может быть уязвим к атакам отказа в обслуживании, захвата сеанса связи и перехвату трафика. Дэйв Джи (Dave G) и Джереми Рауч (Jeremy Rauch), изучавшие проблемы FIX, представят свои открытия в Лас-Вегасе 2 августа на конференции Black Hat USA. Пока же они ограничились лишь анонсом. По предположению исполнительного директора Matasano Дэвида Голдсмита (David Goldsmith), слабость протокола заключается в отсутствии встроенной системы шифрования сессий, а также в том, что его реализации написаны на «нестрогих» языках C и C++, допускающих при неаккуратном программировании возникновение уязвимостей к переполнению буфера и других эксплуатируемых ошибок. Ещё один фактор, говорящий о ненадёжности протокола – его приватность: приложения, работающие с ним, создавались для служебного пользования и, таким образом, при их создании доступ посторонних не предполагался в принципе.
Источник